Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut observer les messages d’erreur SIP, afin de
détecter si un nom d’utilisateur est valide.

Produits concernés : Asterisk Open Source, Fedora, MBS

Gravité : 2/4

Date création : 28/03/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Le service Asterisk peut être configuré avec :
– alwaysauthreject activé
– allowguest désactivé
– autocreatepeer désactivé

Cependant, dans cette configuration, les messages d’erreurs
d’authentification (de SIP INVITE, SUBSCRIBE et REGISTER)
diffèrent si le nom d’utilisateur existe ou non.

Un attaquant peut donc observer les messages d’erreur SIP, afin de
détecter si un nom d’utilisateur est valide.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Asterisk-detection-de-nom-d-utilisateur-12589